miércoles, 28 de octubre de 2020

La sanción a Iberia y las cookies

 Estoy leyendo algunas noticias y también hoy me han hecho una consulta, sobre la sanción a Iberia por incumplir el artículo 22 de la Ley de Comercio Electrónico (artículo conocido también como “la ley de Cookies”) 

Y se están mezclando los 30.000 euros con los que se ha sancionado a Iberia, con el plazo del 31 de octubre que ha dado la Agencia de Protección de Datos para que los sitios web estén adaptados conforme a su última actualización de la guía de cookies

Si se quiere utilizar el tema para asustar como si fueran dos hechos relacionados, “pos fueno, pos fale, pos me alegro”, pero creo que es pertinente aclarar que no lo están del todo.  Y voy a ver si puedo aclarar algo al respecto. 

En primer lugar, la principal actualización de la guía de cookies está relacionada con la necesidad de recabar el consentimiento expreso del usuario cuando se le instalan cookies que requieren dicho consentimiento. Es decir, ya no sirven fórmulas del tipo “si sigues navegando entendemos que nos das tu consentimiento”. 

Ahora el usuario tendrá que realizar una acción proactiva, ya sea pinchando el botón de “aceptar” o configurando las cookies que quiere consentir instalar, para otorgar su consentimiento expreso. Este tema ya lo expliqué en un post anterior. 

La sanción que ha impuesto la Agencia de Protección de Datos a Iberia y que puede consultarse en este enlace https://www.aepd.es/es/documento/ps-00032-2020.pdf, ha sido por incumplir el artículo 22.2 de la Ley de Comercio Electrónico. Y sí,  también por no tener en cuenta las recomendaciones de la guía de cookies, pero la que ya existía antes de esta última actualización de hace tres meses. 

Iberia fue denunciada (en octubre de 2019) por un usuario porque no proporcionaba la opción de rechazar las cookies. Es más, si un usuario quería seguir navegando en el sitio web de Iberia, debía aceptar las cookies. 

En noviembre de 2019, la Agencia le pide a Iberia que se explique y, dos meses después (en enero de 2020), Iberia, alega dos cosas:

  • Que llevaba desde junio de 2019 diseñando una solución para adaptar la política de cookies a las exigencias del RGPD.
  • Y que estaba implantando un banner para configurar los tipos de cookies de la web o aceptar todas.

Vistas las alegaciones de Iberia, a principios de febrero de 2020, el inspector de la Agencia de Protección de Datos entra en la web y verifica un cúmulo de sucesivas desdichas:

  • Que se sigue sin permitir rechazar las cookies. Es más, se cargan sin interaccionar con el banner, cookies que requiere el consentimiento:
    • Double click
    • Analíticas de Google (_gi y _gid)
  • Que varios puntos de la política de cookies no se ajustaban a las recomendaciones de la Agencia en su guía.
    • En concreto, el banner de primera capa era poco conciso, transparente e inteligible. Se refiere la Agencia a la parte del banner que decía “se almacenan cookies en su dispositivo para garantizar el buen funcionamiento y la seguridad de nuestros sitios webs, y ofrecerle la mejor experiencia de navegación posible”.
  • Y que, en definitiva, no había hecho los cambios que alegaban haber realizado. 

Y es cuando Iberia recibe la incoación del expediente sancionador, después de que la Agencia comprobara que seguían sin implantar los cambios cuando, ya sí, modifican el sitio web.

Iberia alegó a la Agencia de Protección de Datos que se la podría haber apercibido y no sancionado, a lo que la Agencia contestó que eso hubiera aplicado de haberse realizado los cambios cuando dijeron que los habían hecho (el clásico «pues ahora te bajas y te vas andando»). 

En conclusión, que ya existían obligaciones derivadas de la necesidad de cumplir el artículo 22 de la Ley de Comercio Electrónico antes de tener que correr en círculos con las manos en la cabeza con la fecha límite del 31 de octubre. 

Y recordad que algunas cookies tienen que ser como los vampiros: hay que invitarlas expresamente para que puedan entrar en tu casa. 

domingo, 4 de octubre de 2020

Cookies, vampiros y una tabla resumen

Hace un par de meses la Agencia Española de Protección de Datos publicó una actualización de su guía de cookies que implica cambios para los sitios webs de las organizaciones y que tendrán que adaptar antes del 31 de octubre.

Las principales modificaciones tienen que ver con la forma de recabar el consentimiento. A partir del 1 de noviembre debe recabarse mediante una acción afirmativa por parte del usuario. No serán ya válidas afirmaciones del tipo "si sigues navegando, entendemos que aceptas las cookies".  

Lo cierto es que la mayoría de los sitios webs todavía no cumplen algo que ya era necesario antes de la actualización de esta guía. Y es que instalan las cookies que requieren consentimiento antes de que el usuario interaccione con el sitio o marque la aceptación del aviso de cookies. Es decir, cuando el usuario resuelve la dirección del sitio, y sin que haya interactuado con la web ni aceptado el banner, ya se le han instalado las cookies que requieren consentimiento. Y eso no debe hacerse porque infringe el artículo 22 de la Ley de Comercio Electrónico.

Es algo que me recuerda bastante a la escena de Spike en el salón de Buffy esperando a que la madre de Buffy le dé palique. Está ahí de buen rollo pero al vampiro ya lo tiene en casa.

 


Pero ojo, que a Spike le han invitado. El de los vampiros es idéntico al sistema de control de cookies. Les tienes que invitar expresamente a entrar para que se te puedan instalar en el salón. Y, además, Spike no juega sucio, entra sólo con consentimiento expreso. 

Lo Ángel, sin embargo, fue consentimiento tácito. Cuando se vuelve malo y entra en el instituto de Buffy aludiendo a que la invitación está en la inscripción de la puerta: "Formatia trans sicere educatorum" ("Que entren todos los que buscan conocimiento", según la profesora Calendar, porque yo no sé latín). A partir del 1 de noviembre, lo que hace Ángel cuando pierde el alma, ya no vale. 

A día de hoy, veo que siguen existiendo muchas dudas sobre las cookies. Qué son. Qué tipos de cookies existen. Y es necesario saber eso para poder identificar las que requieren consentimiento y las que no.

Las dos tablas que vienen a continuación es información extraída literalmente de la guía de la Agencia de Protección de Datos que menciono al inicio. He pasteado la información para resumirla por si así se hace menos bola. 

La primera tabla resume el tipo de cookies que existen. 

La segunda tabla cómo debe facilitarse la información para usar cookies. 

Lo que he marcado en colorinchis es porque me parece francamente relevante. 

 

TIPOS DE COOKIES


Tipo de cookie

Definición


Según la entidad que gestione

Propias

Envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario

De terceros

Se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies

Según la finalidad

Técnicas

Permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, gestionar el pago, controlar el fraude vinculado a la seguridad del servicio, realizar la solicitud de inscripción o participación en un evento,contar visitas a efectos de la facturación de licencias del software con el que funciona el servicio (sitio web, plataforma o aplicación), utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de vídeos o sonido, habilitar contenidos dinámicos (por ejemplo, animación de carga de un texto o imagen) o compartir contenidos a través de redes sociales.


Aquellas cookies que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, como un elemento más de diseño o “maquetación” del servicio ofrecido al usuario sin que se recopile información de los usuarios con fines distintos, como puede ser personalizar ese contenido publicitario u otros contenidos.

Cookies de preferencias o

personalización


Permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una  búsqueda, el aspecto o contenido del servicio en función del tipo de navegador a través del cual el usuario accede al servicio o de la región desde la que accede al servicio, etc.


Si es el propio usuario quien elige esas características (por ejemplo, si selecciona el idioma de un sitio web clicando en el icono de la bandera del país correspondiente), las cookies estarán exceptuadas de las obligaciones del artículo 22.2 de la LSSI por considerarse un servicio expresamente solicitado por el usuario.

Cookies de análisis o medición

Seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio. 


No están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies de publicidad comportamental

Almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar

publicidad en función del mismo.

Por el plazo de tiempo que permanecen activadas

Cookies de sesión

Mientras el usuario accede a una página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (por ejemplo, una lista de productos adquiridos) y desaparecen al terminar la sesión.


Para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello, es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes.

Cookies persistentes

Los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Información que debe facilitarse


Información

Aclaración

En el banner de cookies (Primera capa)

Identificación del editor responsable del

sitio web.


No será necesaria la denominación social, siempre que sus datos identificativos completos figuren en otras secciones del sitio web (aviso legal, política de privacidad, etc.) y su identidad pueda desprenderse de forma evidente del propio sitio web.


Identificación de las finalidades de las

cookies que se utilizarán


Por ejemplo: para fines analíticos y mostrarte publicidad. 

Información sobre si las cookies son

propias (del responsable de la página web)

o también de terceros asociados a él


Sin que sea necesario identificar a los terceros en esta primera capa.


Modo en el que el usuario puede aceptar,

configurar y rechazar la utilización de cookies, con la advertencia, en su caso, de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.


Por ejemplo: puedes aceptar las cookies pulsando en… O configurarlas pulsando en el botón configurar. 

Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”.

Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta segunda capa para localizarlo


El enlace a la política de cookies. 

En la política de cookies (segunda capa)

Información

Ejemplo

Definición y función genérica de las cookies

¿Qué son las cookies? 

Este sitio web utiliza cookies y/o tecnologías similares que almacenan y recuperan información cuando navegas. En general, estas tecnologías pueden servir para finalidades muy diversas, como, por ejemplo, reconocerte como usuario, obtener información sobre tus hábitos de navegación, o personalizar la forma en que se muestra el contenido.

Los usos concretos que hacemos de estas tecnologías se describen a continuación.


Información sobre el tipo de cookies que se utilizan y su finalidad.


¿Qué tipos de cookies se utilizan en esta página web?

(1) De análisis: son aquellas que, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con  el fin de mejorar la oferta de productos o servicios que le ofrecemos.

(2)  Publicitarias comportamentales: son aquellas que, tratadas por nosotros o

por terceros, nos permiten analizar sus hábitos de navegación en Internet para que podamos mostrarle publicidad relacionada

con su perfil de navegación. 


Identificación de quién utiliza las

cookies


Esto es, si la información obtenida por las cookies es tratada solo por el editor

y/o también por terceros con los que editor haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con

identificación de estos últimos  podrán utilizarse mecanismos como

botones que desplieguen esa información más específica o texto emergente que aparezca al pasar el puntero del ratón por encima, y ello siempre que el usuario pueda acceder fácilmente a la información si así lo desea.

Información sobre la forma de aceptar,

denegar o revocar el consentimiento para el uso de cookies


Enunciadas a través de las funcionalidades facilitadas por el editor

(el sistema de gestión o configuración de cookies que se haya habilitado) o a través de las plataformas comunes que pudieran existir para esta finalidad.


“Tenga en cuenta que, si acepta las cookies de terceros, deberá eliminarlas desde las opciones del navegador o desde el sistema ofrecido por el propio tercero”


información sobre las

transferencias de datos a terceros países realizadas por el editor


Puedes informarte de las transferencias a terceros países que, en su caso, realizan los terceros identificados en esta política de cookies en sus correspondientes políticas (ver los enlaces facilitados en el apartado

“Cookies de terceros”)


Elaboración de perfiles si implica la toma de decisiones

Cuando la elaboración de perfiles implique la toma de decisiones

automatizadas con efectos jurídicos para el usuario o que le afecten significativamente de modo similar, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas

de dicho tratamiento para el usuario en los términos establecidos en el artículo 13.2 f) del RGPD


Periodo de conservación de los datos

Para los diferentes fines en los términos establecidos en el artículo 13.2 a) del RGPD.


En relación con el resto de información

exigida


Por el artículo 13 del RGPD que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), el editor podrá remitirse a la política de privacidad



 Estos son los tres tipos de ejemplo que propone la Agencia de Protección de Datos para solicitar el consentimiento en la primera capa:


Teniendo en cuenta que al pinchar en la opción de configurar, tiene que llevar a un panel de configuración para que el usuario pueda aceptar o no las cookies de forma individual.

Y dos bolas extra:

(1) Cuando se utilicen cookies polivalentes, es decir, aquellas que tienen dos o más finalidades diferentes y no exceptuadas del ámbito de aplicación del artículo 22.2 de la LSSI, deberá garantizarse que estas cookies únicamente se utilizan si se aceptan todas las finalidades que agrupan. 

(2) Cuando hablamos de todas estas obligaciones para las cookies no sólo nos referimos estrictamente a las cookies, también a otras tecnologías de rastreo como shared objects, web beacons o bugs.


jueves, 23 de julio de 2020

La anulación del acuerdo Privacy Shield explicada con mutantes

Hace unos días supimos que el acuerdo Privacy Shield entre Estados Unidos y la Unión Europea ha sido anulado por el Tribunal de Justicia de la Unión Europea. 
Lo primero es entender para qué servía el acuerdo Privacy Shield. Para explicarlo voy a partir de la hipótesis de Xavier, con su escuela para jóvenes mutantes, ubicada en un pueblo a la orilla del río Alberche. Ahí los jóvenes mutantes reciben formación y aprenden a controlar sus poderes y a manejarlos. 
La infraestructura tecnológica de la escuela está desplegada en servidores ubicados en EEUU. Por ningún motivo en concreto, simplemente a Forja, el CTO de la escuela, le cuadró la oferta que le hicieron. 
En esa infraestructura la escuela tiene desplegadas diversas herramientas y aplicaciones. Quizás la más relevante, sea una base de datos que contiene las instrucciones para neutralizar a cualquier mutante que pierda el control de sus poderes, incluido el propio Xavier. 
El hecho de que una organización como la escuela de jóvenes mutantes, esté ubicada y preste sus servicios en la Unión Europea y mantenga sus servidores en países fuera de la Unión Europea, se considera una transferencia internacional de datos. Es decir, en este caso hay un flujo de datos desde España a EEUU donde están los servidores.
Las transferencias internacionales de datos sólo pueden realizarse a países que hayan sido declarados con un nivel de protección adecuado por la Comisión Europea. Y EEUU no es un país con nivel adecuado declarado por la Comisión (ups).
Como hay mucho tráfico comercial entre empresas de EEUU y la UE, se habilitó ese “nivel de protección adecuado” a través del Acuerdo Privacy Shield. Y de esa manera, las empresas estadounidenses podrían adherirse al acuerdo y con esa adhesión justificar su cumplimiento de las garantías necesarias y equivalentes con la normativa europea. 
En nuestra historia, el proveedor de los servidores cloud que contrató Forja para el despliegue de sus infraestructuras, estaba convenientemente adherido al acuerdo de Privacy Shield. 

¿Y entonces por qué se ha anulado el Privacy Shield?
Por la NSA. Si alguien ha visto The Good Wife y The Good Fight, sabrá que estas cuestiones siempre se acaban complicando por culpa de la NSA. Y si alguien ha visto estas series también sabrá que es complicado saber quién da las órdenes a la NSA. Podría ser hasta el Doctor Doom, visto lo visto. 
Y es que el Privacy Shield aplicaba y aportaba garantías pero tenía un truco que es, precisamente, sobre lo que se le ha preguntado al Tribunal de Justicia de la Unión Europea. La pregunta que le hicieron al tribunal fue: 
¿Garantiza el Privacy Shield un adecuado nivel de protección conforme a los requerimientos de la normativa europea?
Y la respuesta ha sido que no. Que dado que los principios del Privacy Shield pueden ser limitados si el Doctor Doom considera necesario el acceso a datos de ciudadanos europeos que estén albergados en servidores ubicados en EEUU, la protección equivalente no está garantizada. Y es que el Doctor Doom puede alegar motivos de seguridad o de interés nacional y solicitar acceso a los datos. 
Y recuerdo que Xavier tiene alojados en el server de EEUU, entre otros, los datos de neutralización de los poderes de los mutantes. Que se puede liar ahí un Genosa 2 si a la NSA le da por indagar en los servidores. 
En definitiva, cualquier transferencia internacional que estuviera amparada en el Privacy Shield debe ser interrumpida y los organismos reguladores (la Agencia de Protección de Datos en España), tienen potestad de prohibir esas transferencias. 

¿Y no hay alternativas?
Esta pregunta tiene su truqui. Al Tribunal de Justicia de la Unión Europea se le planteó también otra cuestión bastante relevante. Y es si tienen validez las cláusulas contractuales tipo (SCC en inglés). 
Las SCC son unos modelos de contrato publicados en los anexos de la Decisión 2010/87/UE. Esas SCC son, en resumen, un modelo de contrato que establece obligaciones para el exportador y el importador de los datos personales. Y esas obligaciones tienen la finalidad de garantizar que los datos personales que se transfieren al país de destino, se tratan con garantías adecuadas. 
Y lo que ha dicho el Tribunal es que las SCC sí que son perfectamente válidas y que facilitan mecanismos que aseguran adecuadamente la transferencia al tercer país. 
Eso sí, y aquí viene el plot twist, la transferencia debe ser prohibida o suspendida cuando no se puedan cumplir los requisitos establecidos en esas cláusulas contractuales.
Así que volvemos al Doctor Doom y la NSA. Y es que resulta que si las SCC sólo tienen capacidad de obligar a las partes que firman el contrato (el exportador y el importador) pero no vinculan a los organismos de EEUU, entonces estamos en las mismas. Porque la NSA (entre otros) podrá requerir al importador que facilite los datos de ciudadanos europeos y por ahí se van por el sumidero los derechos y garantías sobre los datos de ciudadanos europeos.
En definitiva, si se suscriben SCC entre las partes, el exportador debe tener en cuenta si los requisitos legales del país al que va a transmitir los datos permiten el cumplimiento de los SCC. Y debe tener en consideración también el acceso de las autoridades públicas del tercer país y aspectos legales de dicha legislación, en particular, que permitan cumplir con el artículo 45.2. 
¿Y entonces?
Aquí es donde se sienta Xavier, como CEO de la escuela de jóvenes mutantes, con Forja que es CTO y viene la pregunta de “¿qué hacemos Charles?”
Con un poco de suerte tienen también una Delegada de Protección de Datos a la que incluir en la sentada porque las transferencias internacionales que estaban amparadas por el Privacy Shield, tienen que dejar de hacerse. 

Spoiler de opciones ante la situación:
(1) Ver si el proveedor tiene la opción de ubicar sus servidores en Europa. 
(2) Revisar si las SCC negociadas entre exportador e importador garantizan los requisitos del artículo 45 del RGPD y ajustarlos si es que no pero, en el caso del EEUU, seguimos teniendo el asunto de seguridad nacional y el Doctor Doom.
(3) Es factible y no sé si plausible, que se llegue a un nuevo acuerdo entre la Unión Europea y EEUU. Un nuevo Privacy Shield al que adherirse. Al fin y al cabo, el Privacy Shield es el upgrade del anterior Safe Harbour que también fue invalidado. Lo que está por ver es qué opinará el Doctor Doom al respecto. 
(4) También se espera que se publiquen nuevas cláusulas contractuales tipo adaptadas al RGPD porque, las que he comentado aquí aunque válidas, en realidad se redactaron en el marco de la anterior Directiva ya derogada. 
(5) Está  el “elige tu propia aventura”del artículo 49 del RGPD, pero como dice su propio título es para “excepciones para situaciones específicas”
Yo creo que son tiempos para hablar con los responsables y delegados de protección de datos en las organizaciones para ver opciones.